Realistisch | Best-of SAP Basis & Security – Januar 2022
Autor: Tobias Harmes | 31. Januar 2022
Sind diejenigen, die Cyberangriffe vermelden, wirklich auch schlecht in Cybersicherheit? Oder haben betroffenen Unternehmen in Wirklichkeit bereits einen Zustand erreicht, der die aktuelle Bedrohungslage endlich realistisch wiedergeben kann?
…zum Anschauen
…zum Hören
Editorial
Glauben Sie mir, ich hätte mich auch über schönere News zum Jahresbeginn gefreut. Letzte Woche wurde ein Cyber-Angriff auf das Internationale Rote Kreuz entdeckt. Dabei konnten die Hacker persönliche Daten von rund 515.000 Menschen erbeuten. Besonders schlimm: Laut IKRK handelt es sich bei diesem Menschen um „höchst schutzbedürftige“ Menschen. Das sind Vermisste, Inhaftierte, Verfolgte oder durch anderer Umstände Menschen, die von ihren Familien getrennt wurden. Dazu der hilflose und naive Appell an die Kriminellen, die Daten nicht zu missbrauchen. Da habe ich erstmal einen Kloß im Hals.
Nicht naiv
Doch daraus zu schließen: wieder jemand, der es nicht hinbekommt, ist zu einfach. Es gibt ein interessantes technisches Detail für Experten: Das internationale Rote Kreuz hat in der Vergangenheit viel in Cybersicherheit investiert. Unter anderem, weil die Menschen Vertrauen in die Rotkreuz-Gesellschaften haben sollen, dass die Daten dort vertraulich behandelt werden.
Konkret lasse man die Systeme jährlich prüfen und habe Systeme installiert, die verdächtige Aktivitäten registrieren sollen. Und diese hätten nun angeschlagen. Man hat also den Angriff bemerkt, weil die richtigen Prozesse zur Prüfung und zum Test installiert worden sind.
Das Internet brennt und keinen interessiert es
Unlängst sorgte für kurze Zeit die Log4J-Schwachstelle für Schlagzeilen. Eine kaum sichtbare Sicherheitslücke mit weitreichendem Missbrauchspotential. Hier ist kein einfaches Update verfügbar, sondern komplizierte Recherche und gewissenhaftes abdichten in jeder Menge unterschiedlicher Software über die ganze IT-Landschaft.
Wegen der Log4j-Schwachstelle hieß es sogar “das Internet brennt“. So eine Aussage wird nach meiner Erfahrung nach in der Chefetage höchstens mit Stirnrunzeln quittiert. Spiegel Online ist schließlich noch erreichbar. SAP auch.
Das Problem ist hier, dass in der üblichen Dimension „Verfügbarkeit“ gemessen wird. Wenn alles funktioniert, sind wir wohl nicht gehackt worden. Nach diesem Maßstab gibt es den Angriff auf das Rote Kreuz gar nicht, was offensichtlich absurd ist.
Alle haben den Schönheitswettbewerb gewonnen
Die Allianz hat in einer Befragung von Fach- und Führungskräften festgestellt, dass diese Cyber-Angriffe als eine der größten Gefahren für das Jahr 2022 sehen, jedenfalls International. In Deutschland dagegen gab es immer noch mehr Angst vor einem Betriebsausfall als vor einem Cyberangriff.
Dass diese Reihenfolge immer noch nicht passt, zeigt meines Erachtens eine Untersuchung der Bitkom, laut derer besonders der Mittelstand ein lukratives Ziel für solche Angriffe ist. Der Grund: Weniger Aufmerksamkeit auf das Unternehmen, fehlende Ressourcen und Knowhow im Bereich IT-Sicherheit und – das halte ich für besonders fatal – die Unternehmen halten sich nicht attraktiv genug für Cyberkriminelle.
Ich glaube nicht, dass sich eine Hilfsorganisation wie das Rote Kreuz andauernd Gedanken machen sollte, ob sie attraktiv für einen Hackerangriff sind. Die haben andere und wichtigere Sachen zu tun. Deshalb haben sie schon vor langer Zeit entschieden: „Wir sind attraktiv.“
Daher kann man es auch so formulieren: Jedes mittelständisches Unternehmen ist ein attraktives Ziel, selbst als gemeinnützige Hilfsorganisation.
Nur ein Traum
Es gibt hinsichtlich IT-Sicherheit eine frustrierend große Umsetzungslücke in deutschen Unternehmen. Die Erkenntnis der Bedrohung führt nicht zu geeigneten Maßnahmen hinsichtlich IT-Sicherheit. Wie nennt man ein Ziel ohne eine definierte Maßnahme? Einen Traum. Vielleicht verursacht durch den Anspruch, das Thema wie ein Problem zu lösen. Ganz oder gar nicht. Nur ist Sicherheit eben kein Zustand, es ist ein Prozess.
Wenn wir Unternehmen nach ISO 27001 auditieren oder bei der Einführung von Informationssicherheitsmanagement unterstützen, geht es praktisch nie um große Umstellungen. Es geht sehr oft darum, die Basics zu systematisieren. Es geht darum, Prozesse zu etablieren, um Mindeststandards einzuhalten.
Praktisch niemand hat perfekte IT-Sicherheit. Aber wer ein System hat, der kann wenigstens jeden Tag an seiner IT-Sicherheit etwas verbessern. Bemerken, dass etwas nicht in Ordnung ist. Und jeden Tag ein wenig die Umsetzungslücke schließen. Schritt für Schritt.
Herzliche Grüße
Tobias Harmes
PS: Mir wurde kürzlich https://goodnews.eu/ empfohlen. Die Redaktion von Good News hat es sich zur Aufgabe gemacht nur über positive und lösungsorientierte Nachrichten zu berichten. Für „die tägliche Dosis Optimismus“ ? Das haben wir uns alle verdient.
Zuletzt auf Instagram
Sieh dir diesen Beitrag auf Instagram an
Die RZ10-Webinare im Februar und März
- Am 21.02.2022: Wie kann ich SAP einfach in meine IT-Security integrieren?
Zur Anmeldung - Am 15.03.2022: Identity Management Tools für SAP Benutzerverwaltung im Vergleich
Zur Anmeldung - Am 30.03.2022: Fiori vs. GUI Berechtigungen
Zur Anmeldung
Schulungsangebot: Crashkurs S/4HANA und Fiori Berechtigungen – neue Termine
Crashkurs S/4HANA und Fiori Berechtigungen (Online-Classroom)
In unserem beliebten Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen. Die nächsten Termine sind am 16.02.2022 und am 23.03.2022.
Mehr Informationen und Anmeldung
Überblick der neuen Inhalte auf RZ10.de | Januar 2022
Knowhow – HANA DB
Die SAP HANA DB ist das aktuelle Datenbank-Produkt von SAP und gehört zur SAP Business Suite 4 SAP HANA. Im Gegensatz zu SAP R/3 und ERP 6.0 wird in Zukunft bei SAP Produkte wie S/4HANA nur noch die HANA DB unterstützt. Daher müssen sich auch alle Kunden anderer Datenbanken wie z.B. Oracle oder DB2 damit beschäftigen. Was ist das besondere an der SAP HANA DB?
Knowhow lesen
Identity Management Tools in der Praxis im Vergleich
Eine reibungslose Benutzerverwaltung der SAP Benutzer und Berechtigungen garantieren professionelle Identity Management Tools. Welche Tools der Markt bietet und wie sie eingesetzt werden können, verrät dieser Beitrag anhand von drei Kundenbeispielen aus der Praxis.
Artikel lesen
E-Book: S/4HANA Berechtigungen zum kostenlosen Download
In unserem neuen und kostenlosen E-Book S/4HANA Berechtigungen finden Sie Antworten auf Fragen wie: Was ist beim Umstieg zu beachten? Welche Funktionen sind neu und welche kann ich wie bisher nutzen? Wie werden Fiori-Apps berechtigt?
Artikel lesen
Die wichtigsten Kriterien zur Toolauswahl für Identity Management
Tools für Identity Management ermöglichen eine einfache und effiziente Benutzer- und Berechtigungsverwaltung. Wie Unternehmen das für sie beste Tool finden und welche Entscheidungskriterien dabei zu beachten sind, erfahren Sie in diesem Beitrag.
Artikel lesen
Das war unser Best-of Januar. Schön, dass Sie es bis hierhin geschafft haben. Oder scrollen Sie erst mal unverbindlich? Nicht schlimm. Wenn Sie mögen gibt es mein monatliches Editorial auch bequem per Mail: Best-of SAP Basis & Security abonnieren